V dnešním článku nainstalujeme Kali linux na Raspberry Pi3. Raspberry Pi je jednočipový minipočítač s procesorem ARM, který strčíte do krabičky od mýdla. Pro Raspberry najdete řadu aplikací, od výuky programování až po mediální centrum a retro hraní. Z pohledu hackingu je klíčové, že na tento typ procesoru lze nainstalovat Kali linux a používat jej…
Android hacking pro začátečníky – Android Studio
Vítám čtenáře seriálu o hackingu mobilních aplikací na platformě Android. V minulém díle jsme se věnovali architektuře, dnes se zaměříme na instalaci a konfiguraci Android Studia, seznámíme se s manažerem virtuálních zařízení a v telefonu aktivujeme volbu pro vývojáře. Android Studio Android Studio je vývojové prostředí pro programátory mobilních aplikací. Součástí této instalace je balíček…
Brute force – útok na hesla hrubou silou
V dnešním příspěvku si vysvětlíme, co je to útok na heslo hrubou silou. Demonstraci útoku provedeme na starší verzi WordPressu s úmyslně slabým heslem do administrace. Tento článek má za cíl ukázat, že jednoduchá hesla jsou hřebíčkem do rakve každé aplikace. Upozorňujeme, že záměr článku je čistě edukační a tímto vás odrazujeme od podobných pokusů…
Testování vstupů webové aplikace – nástroje
V minulém příspěvku jsme prošli úvodem do testování vstupů webových aplikací. Dnes půjdeme o něco dál, protestujeme scénář přihlášení v aplikaci WABANK a najdeme chybu ve validaci vstupů pro konstrukci SQL dotazu. Testovací scénář Protestujeme jeden vstupní bod „username“ v přihlášovacím formuláři do online bankovnictví. Použijeme k tomu webovou aplikaci WABANK, která je dostatečně naivní a…
Kali linux – poprvé na síti
V dnešním příspěvku se podíváme na to, jak se Kali linux automaticky připojuje do sítě a které systémové konfigurace toto nastavení ovlivňují. Příprava virtuálního stroje V nástroji VirtualBox vytvoříme nový virtuální stroj s 1024 GB RAM a s dynamicky alokovaným diskem o velikosti 20 GB. Stažení instalačního média Z domovské stránky kali.org stáhneme 64bit verzi…
Testování vstupů webové aplikace – úvod
Dříve nebo později se v penetračním testování webových aplikací dostanete k testování vstupů. V dnešním příspěvku si vysvětlíme, co je to rozhraní, jak vypadají vstupní body webové aplikace a jak je provolat. Rozhraní aplikace Webová aplikace zpracovává nebo prezentuje data přes jedno nebo více rozhraní. Každé rozhraní má svoji formu a vynucuje si přenos dat…
Cross-site Request Forgery (CSRF)
Cross-site Request Forgery (CSRF) je zranitelnost webových aplikací, která za určitých podmínek umožňuje autentizované uživatele donutit k tomu, aby provedli nezamýšlenou akci. Podstata zranitelnosti tkví v tom, že aplikace nedokáže rozlišit požadavky, které uživatel „zavolal“ neúmyslně. Než odhalíme podstatu CSRF, seznámíme se nejdříve s mechanizmem cookies, který webové aplikace využívají k identifikaci relace uživatele. Identifikátor…
Kali linux – jak vyměnit Javu
Nedávno jsem testoval webovou aplikaci nástrojem Burp Suite a po nějaké době vždy spadnul. Nikde ani stopy po chybě. Začal jsem hledat zda je to vůbec chyba nástroje. Na stránkách podpory „Burpa“ jsem našel podobný problém, který podezírá OpenJDK, což je zjednodušeně řečeno běhového prostředí pro Javu. Tyto chyby jsou nepříjemné, je to pád virtuálního…